基本介紹
- 中文名:現行優先等級
- 外文名:Current priority level
- 學科:計算機
- 作用:保護系統安全、調度
- 有關術語:優先權
- 領域:計算機系統
簡介,優先權,概述,分類,調度的概念,訪問控制,概念,基於角色的訪問控制,
簡介
現行優先等級有兩個概念。1、當前進程的優先權;2、當前用戶擁有的許可權。為了提高系統效率,現在作業系統中一般運行多個進程,在進程或作業領域,現行優先等級即系統賦予當前進程的優先權,由於系統有多個進程,當有進程優先權大於當前現行優先等級,系統會採取調度策略,使優先權高進程運行。
優先權
概述
優先權是指計算機分時作業系統在處理多個作業程式時,決定各個作業程式接受系統資源的優先等級的參數。邏輯運算符中,邏輯非運算符(!)和所有的單目運算符同級,高於雙目的算術運算符、關係運算符、邏輯運算符與(&)和邏輯運算符或(‖);與運算高於或運算,它們都低於算數運算符和關係運算符。
各個作業在輸入計算機之前,都要按一定的要求對它指定優先權。例如要按程式的性質或其長度,或是按作業的來源等,指定其優先權。然後計算機根據各作業程式優先權的高低,來決定處理各程式的先後次序。甚至在處理過程中,還能允許優先權較高的程式中斷優先權較低的程式。進程是有優先權的。如果即將被運行的進程的優先權比正在運行的進程的優先權高,則系統可以強行剝奪正在運行的進程的CPU,讓優先權高的進程先運行。
高優先權任務需要等待低優先權任務釋放資源,而低優先權任務又正在等待中等優先權任務的現象叫做優先權反轉。 此時高優先權任務和中等優先權任務之間沒有任何共享資源但執行順序卻發生了倒置,這種情況稱為優先權反轉,而高優先權任務因為等待低優先權任務釋放資源而阻塞的情況則不稱為優先權反轉
分類
1)靜態優先權
靜態優先權是在創建進程時確定的,且在進程的整個運行期間保持不變。一般地,優先權是利用某一範圍內的一個整數來表示的,例如,0~7 或 0~255 中的某一整數,又把該整數稱為優先數,只是具體用法各異:有的系統用“0”表示最高優先權,當數值愈大時,其優先權愈低;而有的系統恰恰相反。
2) 動態優先權
動態優先權是指在創建進程時所賦予的優先權,是可以隨進程的推進或隨其等待時間的增加而改變的,以便獲得更好的調度性能。例如,我們可以規定,在就緒佇列中的進程,隨其等待時間的增長,其優先權以速率 a 提高。若所有的進程都具有相同的優先權初值,則顯然是最先進入就緒佇列的進程將因其動態優先權變得最高而優先獲得處理機,此即FCFS 算法。若所有的就緒進程具有各不相同的優先權初值,那么,對於優先權初值低的進程,在等待了足夠的時間後,其優先權便可能升為最高,從而可以獲得處理機。當採用搶占式優先權調度算法時,如果再規定當前進程的優先權以速率 b 下降,則可防止一個長作業長期地壟斷處理機。
調度的概念
在多道程式系統中,進程的數量往往多於處理器的個數,進程爭用處理器的情況在所難免。處理器調度是對處理器進行分配,就是從就緒佇列中,按照一定的算法,選擇一個進程並將處理器分配給他運行,以實現進程的並發執行。
處理器調度是多道程式作業系統的基礎,它是作業系統設計的核心問題。
一個作業從提交開始知道完成,往往要經歷一下三級調度:
1)作業調度。作業調度又稱高級調度:其主要任務是按一定的原則從外存上處於後備狀態的作業中挑選一個或多個作業,給他們分配記憶體、輸入輸出設備等必要的資源。並建立相應的進程,以使他們獲得競爭處理器的權利。
多道批處理系統中大多配有作業調度,而其它系統中通常不需要配置作業調度。作業調度的執行頻率較低,通常為幾分鐘一次。
2)中級調度。中級調度又稱記憶體調度。引入中級調度視為了提高記憶體利用率和系統吞吐率,為此,應使那些暫時不能運行的進程調至外存等待,把此時的進程狀態稱為掛起狀態。當他們已具備運行條件且記憶體有稍有空閒時,由中級調度來決定,吧外存上那些已具備運行條件的就緒進程,在重新調入記憶體,並修改其狀態為就緒狀態,掛在就緒佇列上等待。
3)進程調度。進程調度又稱為低級調度,其主要任務是按照某種方法和策略從就緒佇列中選取一個進程,將處理器分配給它。進程調度是作業系統中最基本的一中調度,在一般作業系統中都不需配置進程調度。進程調度的頻率很高,一般幾十毫秒一次。
作業調度從外存的後備佇列中選擇一批作業進入記憶體,為他們建立進程。這些進程被送入就緒佇列。進程調度從就緒佇列中選出一個進程,並把其狀態改為運行狀態,把CPU分配給它。中級調度是位於高級調度和低級調度之間的一種調度。為了提高記憶體的利用率,系統將那些暫時不能運行的進程掛起來。當記憶體空間寬鬆式,通過中級調度選擇具備運行條件的進程,將其喚醒。
訪問控制
概念
訪問控制(Access Control)指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對伺服器、目錄、檔案等網路資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎,是網路安全防範和資源保護的關鍵策略之一,也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。
訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法範圍內得以有效使用和管理。為了達到上述目的,訪問控制需要完成兩個任務:識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。
訪問控制包括三個要素:主體、客體和控制策略。
(1)主體S(Subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。
(2)客體O(Object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、檔案、記錄等集合體,也可以是網路上硬體設施、無限通信中的終端,甚至可以包含另外一個客體。
(3)控制策略A(Attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。
基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關係,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合併賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的複雜性,降低管理開銷,提高企業安全策略的靈活性。
RBAC模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(Group,許可權分配的單位與載體)指定一個角色。
RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用作業系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。
